IT-SiG 2.0: VdTÜV begrüßt Ausweitung des Geltungsbereichs

VdTÜV mahnt aber Nachjustierungen beim IT-Sicherheitsgesetz 2.0 an

[datensicherheit.de, 16.12.2020] Der Verband der TÜV e.V. (VdTÜV) begrüßt in seiner aktuellen Stellungnahme das am 16. Dezember 2020 im Bundeskabinett verabschiedete IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) im Grundsatz, mahnt aber „Nachjustierungen“ an: „Das neue IT-Sicherheitsgesetz wird dazu beitragen, den Schutz vor Cyber-Angriffen zu verbessern“, so Dr. Joachim Bühler, Geschäftsführer des VdTÜV. Dies habe bereits das im Jahr 2015 verabschiedete erste IT-Sicherheitsgesetz gezeigt, welches jetzt novelliert werde.

VdTÜV setzt auf Stärkung der Widerstandsfähigkeit gegen Cyber-Risiken

„Wir begrüßen, dass der enge Geltungsbereich des Gesetzes ausgeweitet wird und in Zukunft weitaus mehr Unternehmen höchste Anforderungen an die IT-Sicherheit erfüllen müssen als bisher“, meint Dr. Bühler. Dies stärke die Widerstandsfähigkeit gegen Cyber-Risiken in der Wirtschaft insgesamt. Bisher hätten nur rund 2.000, zu den Betreibern Kritischer Infrastrukturen (Kritis) zählende Unternehmen, die Vorgaben dieses Gesetzes erfüllen müssen.
Künftig würden auch „Unternehmen im besonderen öffentlichen Interesse“ erhöhte IT-Sicherheitsanforderungen erfüllen müssen. Das betrifft laut Dr. Bühler zum Beispiel große Unternehmen mit besonderer gesamtwirtschaftlicher Bedeutung oder Unternehmen, welche staatliche Sicherheitsinteressen berühren.

Laut VdTÜV deutlicher Nachbesserungsbedarf beim geplanten IT-Sicherheitskennzeichen

Deutlichen Nachbesserungsbedarf sieht der TÜV-Verband nach eigenen Angaben beim geplanten IT-Sicherheitskennzeichen für Produkte: Ziel sei es, Verbrauchern eine bessere Orientierung beim Kauf vernetzter Produkte mit digitalen Funktionen zu ermöglichen. So sollten Produkte eine Kennzeichnung vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten, „wenn sie bestimmte Anforderungen an die IT-Sicherheit erfüllen“. Voraussetzung für die Vergabe des Kennzeichens sei eine Erklärung des Herstellers, „dass sein Produkt den Vorgaben entspricht“.
Das BSI überprüfe anhand von Unterlagen des Herstellers, ob die Angaben plausibel sind. „Eine reine Plausibilitätsprüfung von Dokumenten reicht nicht aus, um die IT-Sicherheit eines Produktes umfassend zu bestätigen“, erläutert Dr. Bühler. Für eine „substantiierte Verbraucherinformation“ sei eine tatsächliche Produktprüfung notwendig, welche von einer herstellerunabhängigen Stelle durchgeführt werde. „Für die Verbraucher muss klar sein, was eine Produktkennzeichnung aussagt“, betont Dr. Bühler. Echte Sicherheit und verlässliche Orientierung biete „nur eine fundierte Produktprüfung durch unabhängige Dritte“.

VdTÜV kritisiert beim Gesetzgebungsverfahren auffallend kurze Frist für Kommentierung

Aus Sicht des TÜV-Verbands sollten sich staatliche Stellen „unter Wahrung des Subsidiaritätsprinzips sowie des Grundsatzes der Staatsentlastung auf hoheitliche Aufgaben konzentrieren“. Dem BSI würden im IT-Sicherheitsgesetz 2.0 Aufgaben wie die Akkreditierung von Prüforganisationen, die Zertifizierung von IT-Produkten oder sicherheitsrelevanten Dienstleistungen sowie die Marktaufsicht zugedacht. So solle das BSI künftig private Prüforganisationen zulassen bzw. akkreditieren und überwachen, mit denen sie gleichzeitig um die Zertifizierung von sicherheitskritischen Systemen in der Wirtschaft konkurriere. Allerdings berge die Konzentration, Durchmischung und Überlagerung von Aufgaben und Kompetenzen das Risiko von Interessenkonflikten innerhalb einer Behörde.
Zum Gesetzgebungsverfahren kritisiert der VdTÜV – wie auch andere Verbände – die „auffallend kurze Frist für die Kommentierung des Gesetzentwurfs“. Dr. Bühler führt aus: „Das IT-Sicherheitsgesetz betrifft Wirtschaft und Verbraucher massiv. Ausreichend Zeit für eine sachgerechte Anhörung der Verbände ist daher zwingend geboten und wichtiger Teil des demokratischen Verfahrens.“

Weitere Informationen zum Thema:

TÜV VERBAND
Stellungnahme des TÜV-Verbands zum IT-Sicherheitsgesetz / Der TÜV-Verband kommentiert den Referentenentwurf für ein zweites IT-Sicherheitsgesetz vom 1. Dezember 2020.

datensicherheit.de, 10.12.2020
IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung / Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer